Detail publikace
Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks
Buffer overflow, Connectionless traffic, SIP, TFTP, UDP vulnerabilities, NBAD, Naive Bayes
Buffer Overflow (BO) útoky jsou jedny z největších hrozebv oblasti bezpečnosti počítačových sítí. Metody detekce BO útoků obvyklepoužívají jeden ze dvou přístupů: analýza na základě porovnání signaturs obsahem paketů versus analýza hlaviček paketů s behaviorálníanalýzou toku dat. Druhý přístup je zaměřen na detekci BO útoků bez ohledu naobsah paketu, jelikož ten může být zašifrován. V tomto článku navrhujemetechniku založenou na behaviorální detekci anomálií v síti (NBAD)zaměřenou na nespojovaně-orientovanou komunikaci. Podobného přístupu byloužito již v předešlých pracích, ty však byly zaměřeny na komunikaci spojovaně-orinetovanou.Ne všechny principy NBAD pro spojovaně-orinetovanou komunikaci lze přenést nakomunikaci nespojovaně-orinetovanou. Zde je tak navržena množina diskriminujícíchrysů popisující chování BO útoků v nespojovaně-orinetované komunikaci a implementovánnástroj pro jejich offline extrakci ze zachyceného komunikačního provozu. Dále popisujemeshromažďování dat provedené ve virtualizovaném síťovém prostředí s užitím exploitůpro SIP a TFTP služby, následované experimenty s technikami pro dolovánídat využívající strojového učení s učitelem (ML) a Naivní Bayesovský klasifikátor. Zneužitízranitelností služeb je provedeno modifikací síťového provozu se záměremsimulovat reálné podmínky v síti. Výsledky experimentů ukazují, ženavržený přístup je schopen rozlišit BO útoky od legitimního síťového provozus vysokou přesností a odezvou klasifikace.
@inproceedings{BUT134712,
author="Ivan {Homoliak} and Ladislav {Šulák} and Petr {Hanáček}",
title="Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks",
booktitle="Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers",
year="2017",
series="Lecture Notes in Computer Science",
journal="Lecture Notes in Computer Science",
volume="10144",
number="1",
pages="66--78",
publisher="Springer International Publishing",
address="Jeju Island",
doi="10.1007/978-3-319-56549-1\{_}6",
isbn="978-3-319-56549-1",
issn="0302-9743",
url="https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6"
}